10.11.2005
VoIP bei einem NetzwerkbetreiberNovember 2005
3.November 2005 VoIP bei einem Netzwerkbetreiber von Volker Deterding QSC AG2
Übersicht
VoIP EinführungVerbindungsaufbauGesprächsübertragung
Übertragung von nicht Sprachdaten über VoIPFaxeModem (Alarm, und Meldeleitungen)
Kopplung VoIP mit klassischer TelefonieVoIP im Internet versus im VPNSicherheitsrelevante Aspekte von VoIP
10.11.2005
3.November 2005 VoIP bei einem Netzwerkbetreiber von Volker Deterding QSC AG3
Verbindungsaufbau -Adressierung-
Für den Gesprächsaufbau wir eine eindeutige Adressierung des Gesprächsteilnehmer benötig
Dynamische IP-AdresseFirewall mit NAT-Funktionen und PAT-Funktionen
Es ist nicht bekannt unter welcher IP-Adresse und welchem Port der Gesprächsteilnehmer zu erreichen ist.
Zeitlich befristetet Anmeldung über Signalisierungsprotokolle (u.a. SIP) an einem Server.
3.November 2005 VoIP bei einem Netzwerkbetreiber von Volker Deterding QSC AG4
Verbindungsaufbau -Signalisierung-
Der Auf- und Abbau von Gesprächen erfolgt über spezielle Signalisierungsprotokolle
H.323 - Packet-based multimedia communications system, ITU-TSIP - Session Initiation Protocol, IETF RFC 3261MGCP - Media Gateway Control Protocol H.248ISDN over IP - ISDN/CAPI basiertes ProtokollSkinny Client Control Protokoll - von CiscoSkype – propritäres Protocol der Fa. Skype
10.11.2005
3.November 2005 VoIP bei einem Netzwerkbetreiber von Volker Deterding QSC AG5
Verbindungsaufbau -Rufnummern-
Für die Erreichbarkeit von Teilnehmern wir ein eindeutiger Rufnummernplan benötigt
ENUM - RFC2916Eine auf DNS basierte eindeutige Adressierung. Die vorhandene klassische Telefonnummer wir weltweit eindeutig in ein DNS-Name überführt. Hierzu wurde die Domain e164.arpa geschaffen.+49 421 123456 6.5.4.3.2.1.1.2.4.9.4.e164.arpa
OrtsrufnummerKurzfristige Lösung von Netzbetreibern um VoIP-Kunden für das öffentliche Netz (PSTN) erreichbar zumachen. Teilweise werden auch 0180 Nummern genutzt. Die Nummer ist ans Ortsnetz gebunden. Die Erreichbarkeit aus dem Internet stellt der Netzbetreiber sicher.
Internet-Rufnummer - 032Dieses ist eine persönliche Rufnummer und kann nomadisch genutztwerden, es gibt keine geografische Begrenzung.Erreichbarkeit aus dem Internet stellt der Netzbetreiber sicher.
3.November 2005 VoIP bei einem Netzwerkbetreiber von Volker Deterding QSC AG6
Gesprächsübertragung -Transport der Daten-Das Gespräch wir analog der herkömmlichen Telefoniedigitalisiert und dann anstelle einer exklusiven Leitung in kleinen Datenpaketen parallel zu anderen Daten im Netzwerk übertragen.Der Transport der Daten wir durch das Real-Time Transport Protocol (RTP) realisiert, die Steuerung wir durch das Real-Time Transport Control Protocol (RTCP) war genommen.
Computernetzwerk
EWSD
Paketvermittlung Leitungsvermittlung
10.11.2005
3.November 2005 VoIP bei einem Netzwerkbetreiber von Volker Deterding QSC AG7
PCM = Puls Code ModulationRTP = Real-time Transport ProtocolUDP = User Datagram Protocol
Gesprächsübertragung -VoIP Übertragungsweg-
3.November 2005 VoIP bei einem Netzwerkbetreiber von Volker Deterding QSC AG8
Gesprächsübertragung -Übertragungsqualität-
Die Übertragungsqualität hängt im wesentlichen von den Parametern Laufzeit (Latenz, Delay) 150 ms akzeptabel (Mund-zu-Ohr)Laufzeitschwankung (Jitter) schlägt sich auf die Laufzeit niederPaketverlust (packet lost) < 1% akzeptabel (Codec abhängig)
ab.
Damit die subjektive Wahrnehmung der Sprachqualität vom Mund zumOhr, objektiv bewertet werden kann wurde der MOS-Wert eingeführt (MOS - Mean Opinion Score)
Die Sprachqualität auch von konkreter Implementierung abhängig ist, sind u. a. diese Funktionen wichtig sind:
Comfort noiseNahes Echo generieren und Fern-Echo-UnterdrückungAutomatic Gain Control (AGC, automatische Lautstärkeregelung)Voice Activity Detection
10.11.2005
3.November 2005 VoIP bei einem Netzwerkbetreiber von Volker Deterding QSC AG9
Gesprächsübertragung -Delaybudget-
VoIP-Device VoIP-Device
Router
Router
Dsl-ModemDsl-Modem
LAN
10201030101015Gesamte Delayzeit 105 ms
DecodierungEmpfangspufferLANWANLANCodierungPaketierung
VoIP-DeviceNetzwerkVoIP-Device
3.November 2005 VoIP bei einem Netzwerkbetreiber von Volker Deterding QSC AG10
Gesprächsübertragung -Bandbreitenmanagement-
Stabiles QoS durch spezielle Protokolle zur Datenpriorisierung
IntServ (Integrated Service)Arbeitet mit RSVP (Resource ReserVation Protocol). Vor der Datenübertragung werden die Ressourcen entlang des Übertragungsweges reserviert. Jeder Router muss die Information währen der kompletten Session behalten.DiffServ (Differentiated Service)Jedes einzelne IP-Paket wird durch das Endgerät markiert, die Router im Netz nutzen diese Info zur Priorisierung.IEEE 802.1p/QPaketpriorisierung auf Layer 2, ähnlich DiffServ aber auf IP-LANs beschränkt.WFQ (Weighted fair Quueing)Der Router nutzt Paket-Header-Informationen wie Protokoll, Adressen Ports, ToS, um den Datenverkehr einzuteilen und diese auf der Ausgangsschnittstelle dyn. gewichtet Bandbreiten zuzuordnen.Windows Size-ManipulationDie Übertragungsgeschwindigkeit von TCP-IP-Sessions kann bei Bedarf durch Manipulation der Windows size beeinflusst werden.Traffic Shaping, Partitionierung, usw.
10.11.2005
3.November 2005 VoIP bei einem Netzwerkbetreiber von Volker Deterding QSC AG11
ISDN
PSTN
GSM
4,2 =„Toll Quality“
Gesprächsübertragung - Die MOS-Skala -
3.November 2005 VoIP bei einem Netzwerkbetreiber von Volker Deterding QSC AG12
Codec-Name
Codec-Bitrate (kbit/s)
MOS-Qualität
Algorithmus Sample-Rate (kHz)
Codec-Delay (ms)
Paketierungs-Delay (ms)
G.711 64 4,3-4,4 (4,7) PCM 8 0,125 1G.722 64 16G.722.1 24/32 16G.723.1 5,3 3,5 ACELP 8 37,5 68G.723.1 6,4 3,65-4,0 (3,8) MP-MLQ 8 37,5 68G.726-16 16 3,96 ADPCM 8G.726-24 24 ADPCM 8G.726-32 32 4,0-4,2 ADPCM 8 1 1G.726-40 40 ADPCM 8G.728 16 3,6-4,2 LD-CELP 8 3 - 5G.729 (A) 8 3,9-4,2 (4,3) CS-ACELP 10 15 25iLBC 13,33 4 LPC 8GSM 6.10 13 3,5-3,9 8
Für die Kodierung und Komprimierung der Sprache können verschiedene Codecs eingesetzt:
Gesprächsübertragung - Codecs -
10.11.2005
3.November 2005 VoIP bei einem Netzwerkbetreiber von Volker Deterding QSC AG13
Ablauf einer VoIP Session anhand von SIP
3.November 2005 VoIP bei einem Netzwerkbetreiber von Volker Deterding QSC AG14
Fax-over-IPEntweder über einen ATA (Analoger Terminal Adapter), der den G.711-Codec nutzt, da so die Fax-“Töne“ weitestgehend unverfälscht übertragen werden – ist aber problematisch (= störanfällig) bei Delayund Paket Loss(insb. bei Delay-Buffer-Erhöhung -> kurzer „Slip“ = Verzögerung beim Empfang der Sprachdatenpaketen beim Decoder)Oder gemäß ITU T.38 über Fax-Relays arbeiten:
Die Fax-Verbindung terminiert lokal auf dem GatewayStark Szenarien-abhängig, braucht gewisse QoS
Modem-over-IP:Es ist keine komprimierte Übertragung von Modemdaten über VoIP möglichModemverbindungen sollen immer auf dem Gateway terminieren
Übertragung von nicht Sprachdaten -Fax, Modem-
10.11.2005
3.November 2005 VoIP bei einem Netzwerkbetreiber von Volker Deterding QSC AG15
Kopplung von VoIP mit der klassischen Telefonie(PSTN)
QSC gehört zu den wenigen Carriern mit eigenem „POI-Vollausbau“: über 475 „Point Of Interconnects“ mit der DT AG werden TDM-Sprachverbindungen in das eigene Sprachnetz überführt.
Dieses Sprachnetz wird durch die marktführende Voice-Switch-Technik der EWSDs von Siemens gesteuert.
3.November 2005 VoIP bei einem Netzwerkbetreiber von Volker Deterding QSC AG16
Kopplung von VoIP mit der klassischen Telefonie(VoIP-VPN)
Zusätzlich hat QSC eine hoch-moderne, IP-basierte Voice Over IP-Infrastruktur aufgebaut.
Zentrale Elemente sind die hoch-performantenund redundanten Softswitche X3000 und Universal Media-Gateways UMG8900 von Huawei.
10.11.2005
3.November 2005 VoIP bei einem Netzwerkbetreiber von Volker Deterding QSC AG17
Kopplung von VoIP mit der klassischen Telefonie(Internet-Kopplung)
Die VoIP-Infrastruktur der QSC enthältu. a. drei weitere, wichtige
Komponenten:
SIP-Server: dem Softswitch ist einSIP-Express-Router (SER) vorgeschaltet.
Hochleistungs Session Border Controller (SBC) liegenim Übertragungsweg aller VoIP-Verbindungen. Die SBCskümmern sich sehr zuverlässig um alle NAT-Probleme. Im VoIP-SIP-Client ist daher keinerlei Intelligenz erforderlich. Auch sicherheitstechnisch überzeugt das SBC-Konzept: in der Kunden- Firewall ist nur ausgehend der Port zu den IP-Adressen der SBC zu öffnen. Da die SBCs als „Back-to-Back-User Agents“ betrieben werden, leiten sie nur RFC3261-konforme Pakete weiter.
Ein marktführendes, Probe-basiertes QoS-Management und -Monitoing Toolermöglicht es QSC u. a.die MOS-Werte der VoIP-Verbindungen zu überwachen
3.November 2005 VoIP bei einem Netzwerkbetreiber von Volker Deterding QSC AG18
(VPN-Kopplung)
Sind die Kunden-Lokationen über ein MPLS-basiertes IP-VPN der QSC angebunden, kann QSC weitere, VoIP-relevante Dienste liefern:
Eine auf DSCP-Mapping (der Kunde kann Layer 3 DiffServ-Marking oder Layer 2 802.1p/Q Paket-Priorityim LAN verwenden) basierende, Ende-zu-EndeIP-Priorisierung
Über eine im QSC-IP-Netz plazierteSIP-Proxy- und Firewall-Komponentewerden die VoIP-Daten sicher undschnell vom Kunden-VPNzur QSC-VoIP-Infrastrukturüberführt.
Kopplung von VoIP mit der klassischen Telefonie
10.11.2005
3.November 2005 VoIP bei einem Netzwerkbetreiber von Volker Deterding QSC AG19
Kopplung von VoIP mit der klassischen Telefonie(LAN über Internet gekoppelt)
Sind die Kunden-Lokationen über einen fremden Internet-Uplink angebunden und soll dieser auch für den VoIP-Traffic mit benutzt werden, ist das hier abgebildete Szenario sinnvoll:
In der Firewall müssen keine VoIP-relevanten Ports geöffnet werden (wenn keine SIP User Agents im LAN eingesetzt werden).
Die QSC-IAD nimmt über eine integrierte IP-QoS-Router-Funktion eine IP-Priorisierung vor, indem sie TCP/IP-Sessions nur so viel Bandbreite gewährt, wie gerade nicht für die VoIP-Kommunikation benötigt wird.
3.November 2005 VoIP bei einem Netzwerkbetreiber von Volker Deterding QSC AG20
VoIP im Internet versus im VPN –MPLS-Netz-Das physikalische Netz basiert auf MPLS (Multi Protocol Label Switching)Auf diesem Netz sind verschieden „VPNs“ abgebildet, die mit unterschiedlicher QoS-Parametern eingerichtet sind.Kunden VPNs haben verhandelte undvertraglich zugesicherte QoS-Parameter
Internetanderer Provider
PSTN
Internet
MPLS-Netz
VoIP-VPN
Kunden- VPN1
Kunden-VPN2
Kunden-VPNn
10.11.2005
3.November 2005 VoIP bei einem Netzwerkbetreiber von Volker Deterding QSC AG21
PSTNVoIP VPN
INTERNET
VoIP im Internet versus im VPN -Internet-Internet--Internet-PSTN-
Bei IP wird die Bandbreite von allen Session gleichberechtigt genutzt.Im Internet und auf der Accessltg. wird keine Priorisierung vorgenommen. Einem Download (ftp) wird die max. angebotenen Bandbreite nutzen.
3.November 2005 VoIP bei einem Netzwerkbetreiber von Volker Deterding QSC AG22
Kunden VPN
INTERNET
VoIP im Internet versus im VPN –VPN-Internet-Download im InternetVoIP-Gespräch Niederlassung – Internet (25+10+30+10+30+10+30=145 ms) VoIP-Gespräch Außendienst (IPsec-Tunnel) - Internet (25+30+10+30+10+30=135 ms)
25 ms
10 ms
30 ms
10 ms30 ms
10 ms30 ms
10 ms
25 ms
30 ms
30 ms
30 ms10 ms
10.11.2005
3.November 2005 VoIP bei einem Netzwerkbetreiber von Volker Deterding QSC AG23
VoIP im Internet versus im VPN -VPN-PSTN-Download im InternetVoIP-Gespräch Niederlassung – Internet FW am Kundenstandort (25+10+30+10+30+30+12+30=177 ms) VoIP-Gespräch Niederlassung – Internet ProviderLösung (25+10+30+30+12+30=137 ms)
PSTNVoIP VPNKunden VPN
INTERNET
25 ms
10 ms
30 ms30 ms
30 ms12 ms
30ms
10ms
30 ms
25ms
10ms
30ms12ms
30 ms
3.November 2005 VoIP bei einem Netzwerkbetreiber von Volker Deterding QSC AG24
Sicherheitsrelevante Aspekte von VoIP
Angriff durch Voice Spam (Spit = Spam over Internet Telephony): massenhafte Beschickung von IP-basierten Telefonanschlüssen mit Werbebotschaften, sinnlosen Nachrichten und unerwünschten Inhalten.(Ein SIP-Paket (Ringall)kann alle Telefone eines Unternehmens über Broadcast-ähnliche Klingelrundrufe außer Funktion setzen)Registrations- und Highjacking bei SIP-Telefonen öffentlicher VoIP-Provider
alle über das VoIP-Netz eingehenden Anrufe erreichen den Nutzer nichtCaller ID Spoofing: Vortäuschung einer falschen Anrufer-IdentitätH.323 nutzt 7 bis 11 Ports je Anruf, nur 2 davon sind statisch fixiertProblem, wenn Firewall VoIP- bzw. SIP/H.323-Pakete tiefer inspizieren soll:
Hohe Last für Firewall -> höheres DelayLösungsansatz: Voice-Proxies einsetzen, die der Firewall signalisieren, welche Ports zu öffnen sind und wie z. B. NAT zu handhaben istIETF erarbeitet Vorschlag (Arbeitsgruppe MIDCOM) zur Integration der Proxiesin Firewalls
10.11.2005
3.November 2005 VoIP bei einem Netzwerkbetreiber von Volker Deterding QSC AG25
Sicherheitsrelevante Aspekte von VoIP -NAT-
Zu VoIP-Endgeräten hinter einer FW mit NAT kann normalerweise kein Gespräch aufgebaut werden.Welche Adresse und welchen Port teilen VoIP-Endgeräte dem Registrierungsserver mit?
3.November 2005 VoIP bei einem Netzwerkbetreiber von Volker Deterding QSC AG26
Sicherheitsrelevante Aspekte von VoIP –SBC (B2BUA)-
PSTN
VoIP VPN
INTERNET
SBC(B2BUA)
SIP-Server
NAT
Session durch die Anmeldung wird logischvom SBC offen gehalten.Ein externer VoIP-Client nimmt Verbindungzum SIP-Server auf, die aber direkt vomSBC übernommen wird.Der RTP Datenstrom der Cleints wirdjeweils auf dem SBC terminiertWeitere Vorteile:
SPIT kann nicht direkt den ClienterreichenManipulierte Datenpaket werden vom
SBC erkannt
Gesprächsdaten
Signalisierung
Top Related